Crédits
: |
Y. Rekhter,
Cisco Systems
B.
Moskowitz, Chrysler Corp.
D.
Karrenberg, RIPE NCC
G. J. de
Groot, RIPE NCC
E. Lear,
Silicon Graphics, Inc. |
Traduction : |
Thomas
PEDOUSSAUT / Ingénieur EISTI / Octobre 1998 |
Statut : Usage
recommandé
Remplace: RFCs
1627, 1597
Février
1996
Note du
diffuseur :
Le texte
suivant est une traduction intégrale, telle qu'éditée
par les auteurs originaux, sans ajouts, commentaires, ni
omissions. Ce document est mentionné comme étant un "Best
Current Practice" de la communauté Internet.A ce
titre, il s'agit d'une "pratique courante conseillée",
mais ne constitue en rien une norme.
Table des matières
Statut
de ce Memo
Ce document décrit
la meilleure pratique actuelle sur l'Internet pour la communauté,
et demande des suggestions pour l'amélioration. La
diffusion de cememo est libre.
1.
Introduction
Pour le contexte
de ce document, une entreprise est une entité
autonome,exploitant un réseau utilisant TCP/IP et en
particulier définissant un pland'adressage et assignant ces
adresses sur ce réseau.
Ce document décrit
l'allocation d'adresses pour des réseaux privés.
Cetteallocation permet une connectivité de toutes les
couches réseau entre toutes lesmachines à l'intérieur
de l'entreprise ainsi que vers des machines publiques dedifférentes
entreprises. Le coût d'utilisation d'adresses dans des
plagespubliques est égal au coût potentiel de renumérotation
des machines et desréseaux entre le public et le privé.
2.
Motivation
Avec la prolifération
de la technologie TCP/IP à travers le monde, même
endehors de l'Internet lui même, un nombre croissant
d'entreprises non connectéesutilisent cette technologie et
ses capacités d'adressage pour des besoins decommunication
uniquement intra-entreprise, sans jamais l'intention de
seconnecter à d'autres entreprises ni à l'Internet
lui-même.
L'Internet a crû
au delà de toutes les prévisions. Cette
croissanceexponentielle constante amène de nouveaux défis.
Un de ceux-ci concerne toute lacommunauté informatique :
l'attribution intégrale de cet espace d'adressageunique.
Un autre défi
un peu différent est la charge des tables de routage qui
croitau dela des possibilités des Fournisseurs d'Accès
à l'Internet (FAI). Des efforts sontfaits par la communauté
internaute pour trouver des solutions à long termepour ces
deux problèmes. De toutes façons, il est nécessaire
de revoir les procéduresd'allocation d'adresses et leur
impact sur le système de routage d'Internet.
Pour contenir la
croissance des tables de routage, un fournisseur d'accèsdemande
un bloc d'adresses à un organisme d'enregistrement, et en réattribue
à l'intérieurde ce bloc, selon les besoins de ses
clients. Le résultat est que les routesvers plusieurs
clients peuvent être agrégées ensemble et
apparaîtront pour lesautres fournisseurs comme une seule
route [RFC1518], [RFC1519]. Pour quel'agrégation des routes
soit efficace, les FAI (Fournisseurs d'accès
Internet)encouragent leurs clients qui rejoignent leur réseaux
d'utiliser une plage dubloc du FAI, et par là-même
renuméroter leurs machines. De tels encouragements
peuventdevenir des obligations dans le futur.
Avec la taille
actuelle de l'Internet et son rythme de croissance, il n'estplus réaliste
de croire que grâce aux vertus de l'obtention d'adresses
IPuniques de la part d'un organisme d'enregistrement, une
organisation quiacquière de telles adresses pourra avoir
une connectivité IP sur toutl'Internet lorsque cette
organisation sera elle même connectée à
Internet. Aucontraire, il est plus probable que lorsque
l'organisation se connectera àl'Internet pour réaliser
une connectivité IP sur tout l'Internet,l'organisation
devra changer d'adresse IP (renuméroter) toutes ses
machinespubliques (qui ont besoin de se connecter à
l'Internet), en fonction del'unicité globale ou non des
adresses utilisées initialement par l'organisation.
Il a été
typique d'assigner des adresses globalement uniques à
toutes lesmachines qui utilisent TCP/IP. Pour pouvoir étendre
la durée de vie del'adressage IPv4, les organismes
d'enregistrement demandent beaucoup plus dejustifications
qu'auparavant, rendant la tâche plus difficile à
desorganisations pour acquérir un espace d'adressage supplémentaire
[RFC1466].
Les machines de
l'entreprise qui utilisent TCP/IP peuvent être divisées
en 3catégories:
Catégorie
1 : |
les machines
qui n'ont pas besoin d'acceder à des machinesd'autres
entreprises ou à l'Internet dans son ensemble. Les
machines de cettecatégorie peuvent utiliser des adresses
IP qui sont uniques dans l'entreprise,mais qui peuvent être
ambigues entre différentes entreprises. |
Catégorie
2 : |
les machines
qui ont besoin d'accéder à un nombre limité
deservices extérieurs (ex: E-Mail, WWW, FTP, remote
login) qui peuvent êtresservis par des passerelles
applicatives. Pour beaucoup de machines dans cettecatégorie,
un accès non restreint (fourni par la connectivité
IP) n'est pasforcément nécessaire et même
quelque fois non désiré pour des raisons desécurité.
Pour les mêmes raisons que pour les machines de la premièrecatégorie,
de telles machines peuvent utiliser des adresses IP uniques
dansl'entreprise, mais qui peuvent être ambigues entre
différentes entreprises. |
Catégorie
3 : |
les machines
qui ont besoin d'un accès réseau à l'extérieur
del'entreprise (fourni par la connectivité IP). Les
machines de cette dernièrecatégorie ont besoin
d'une adresse unique sur tout l'Internet. |
Nous parlerons
des machines des catégories 1 et 2 commes de machines"privées",
et de celles de la 3eme categorie comme des machines "publiques".
Beaucoup
d'applications n'ont besoin de connectivité qu'à
l'intérieur del'entreprise et n'ont pas besoin de
connectivité extérieure (à l'entreprise).Dans
de grandes entreprises, il est souvent facile d'identifier un
nombreimportant de machines utilisant TCP/IP qui n'ont pas besoin
de connectivité àl'extérieur de l'entreprise.
Quelques
exemples, où la connectivité extérieure n'est
pas obligatoire :
- Un grand
aéroport qui possède des écrans d'affichage
d'Arrivée/Départutilisant TCP/IP. Il n'est
absolument pas souhaitable que ces écrans
soientaccessibles directement depuis d'autres réseaux.
- De
grandes organisations comme des banques ou des chaines de
location devoitures basculent vers TCP/IP pour leur
communication. Un grand nombre destations de travail comme des
caisses automatiques, des distributeurs debillets, ou des postes
de courtage ont rarement besoin d'une telle connectivité.
- Pour des
raisons de sécurité, beaucoup d'entreprises
utilisent despasserelles applicatives pour connecter leur réseau
interne à l'Internet. Leréseau interne n'a souvent
aucun accès direct à l'Internet, c'est
pourquoiseulement une ou plusieurs passerelles sont visibles
depuis l'Internet. Dans cecas, le réseau interne peu
utiliser des adresses IP non globales.
- Les
interfaces des routeurs sur un réseau interne n'ont
souvent pas besoind'être directement accessibles depuis
l'extérieur de l'entreprise.
3.
Espace d'adresses privées
L'Autorité
d'Affectation de Numéros sur Internet (IANA) a réservé
les 3 blocsuivant dans l'espace d'adressage pour des réseaux
internes :
10.0.0.0
- 10.255.255.255 (10/8 prefix)
172.16.0.0 -
172.31.255.255 (172.16/12 prefix)
192.168.0.0 -
192.168.255.255 (192.168/16 prefix)
Nous parlerons du
premier bloc comme le bloc de 24 bits, le second commecelui de 20
bits, et du troisième comme le bloc de 16 bits. Notez (en
notationpre-CIDR) que le premier bloc n'est rien d'autre qu'une
classe A, le second, unensemble de 16 classes B contigues et le
troisième, un ensemble de 256 classesC contiguës.
Une entreprise
qui décide d'utiliser des adresses à l'intérieur
des plagesspécifiées dans ce document peut le faire
sans en référer à l'IANA ni unorganisme
d'enregistrement. L'espace ainsi défini peut être
siimultanément utilisé par de nombreuses
entreprises. Les adresses dans ces plages ne seront uniques qu'àl'intérieur
de l'entreprise, ou du groupe d'entreprises qui décident de
semettre d'accord sur cet espace d'adressage pour être
capables de communiquerensemble dans leur propre inter-réseau.
Comme précédemment,
toute entreprise qui a besoin de plages d'adressesmondialement
uniques doit en faire la demande auprès des
organismesd'enregistrement. Une entreprise qui demande des
adresses pour sa connectivitéexterne ne se les verra jamais
attribuer dans les plages ci-dessus.
Pour pouvoir
utiliser les plages d'adresses privées, une entreprise
doitdéterminer quelles machines n'ont pas, et n'auront pas
dans un futur proche,besoin d'une connectivité à
l'extérieur de l'entreprise et pourront êtrequalifiées
de privées. De telles machines utiliseront l'espace
d'adressage ci-dessus. Les machines privées peuvent
communiquer avec toutes les autres machinesde l'entreprise, à
la fois publiques et privées. Néanmoins, elles ne
peuventavoir de connectivité IP avec une machine à
l'extérieur de l'entreprise. Mêmesi elles n'ont pas
de connectivité IP vers l'extérieur, les machines
privéespeuvent toutefois avoir accès à des
services extérieurs grâce à des passerelles(ex
passerelles applicatives).
Toutes les autres
machines seront publiques et utiliseront l'espaced'adressage
unique global assigné par un service d'enregistrement. Les
machinespubliques peuvent communiquer avec d'autres machines privées
ou publiques àl'intérieur de l'entreprise et possèdent
une connectivité IP avec les machinespubliques extérieures
à l'entreprise. Les machines publiques n'ont pas
deconnectivité avec des machines privées d'autres
entreprises.
Passer une
machine du statut privé au public ou vice-versa impliquele
changement de l'adresse IP, de l'entrée correspondante dans
les DNS et desfichiers de configuration des différentes
machines accèdant à celle ci paradresse IP.
Comme les
adresses privées n'ont aucune signification globale,
lesinformations de routage ne doivent pas être propagées
sur des liens inter-entreprises, et les paquets ayant de telles
adresses source ou destination nedoivent pas être envoyés
sur de tels liens. Les routeurs sur des réseauxn'utilisant
pas d'espace d'adressage privé, plus spécialement
ceux des FAI,doivent être configurés pour rejeter
(filtre sortant) les informations deroutage concernant les réseaux
privés. Si un routeur de la sorte reçoit un
telpaquet, il ne doit être traité comme une erreur de
protocole de routage.
Des références
indirectes à de telles adresses doivent être
maintenues àl'intérieur de l'enteprise. Des exemples
typiques sont les Enregistrements DNSou d'autres informations se référant
aux adresses privées internes. Enparticulier, les FAI
doivent prendre des mesures pour éviter de telles fuites.
4.
Adantages et Inconvénients de l'utilisation d'espace
d'adressage privé
L'avantage évident
pour l'Internet de l'adressage privé est la
protectionconservatoire de l'espace d'adressage global en ne
l'utilisant pas là oùl'unicité globale n'est
pas requise.
Les entreprises
elles mêmes se réjouissent des nombreux avantages
del'utilisation d'espace d'adressage privé. Elles gagnent
en flexibilité dansl'architecture du réseau en ayant
un espace d'adressage à leur disposition plusgrand que
celui qu'elles auraient pu obtenir par une plage unique. Cela
permetdes schemas d'adressage conforme aux préocupations
administratives etopérationnelles ainsi qu'une croissance
plus facile des zones.
Pour différentes
raisons, l'Internet a déjà été
confronté à des situations oùune entreprise
qui n'a pas été connectée à l'Internet
utilisait un espaced'adressage IP pour ses machines sans que
celui-ci lui ait été assigné parl'IANA. Dans
quelques cas, cet espace avait déjà été
assigné à une autreentreprise. Si une telle
entreprise veut plus tard se connecter à l'Internet,cela
peut créer de sérieux problèmes, car le
routage IP ne peut fonctionnercorrectement en présence
d'adresses ambiguës. De toute façon, en principe,
lesFAI se prémunissent de telles erreurs en mettant en
oeuvre des filtres sur lesroutes, même si cela n'est pas
toujours le cas dans la pratique. L'utilisationd'espaces
d'adressage privés est un choix sécurisant pour de
tellesentreprises, empêchant les problèmes une fois
que la connectivité exernedevient nécessaire.
Un principal
inconvénient dans l'utilisation de l'adressage privé
est laréduction de la flexibilité dans l'accès
de l'entreprise à l'Internet.
Une fois validé
l'utilisation d'adresses privées, c'est la renumérotationd'une
partie ou la totalité de l'entreprise qui est validée
si l'on décide defournir un connectivité IP entre
cette partie (ou toute l'entreprise) etl'Internet. Habituellement,
le coût de la renumerotation peut être mesuré
parle nombre de machines devant passer du domaine privé au
public. Comme nous enavons discuté précédemment,
néanmoins, même si un réseau utilise des
adressesuniques globales, il faudra de toute façon
renumeroter pour obtenir uneconnectivité IP sur tout
l'Internet.
Un autre inconvénient
à l'utilisation d'espace d'adressage privé
apparaitlorsque l'entreprise connecte son réseau avec ceux
d'autres entreprises en unseul inter-réseau. Il y a alors
le risque d'avoir à renuméroter. En regardantles
exemples que nous avons vus en section 2, les entreprises tendent
àfusionner. Si ces entreprises, avant la fusion
entretenaient une certainecohérence en utilisant des
espaces d'adressage privés, après la fusion
veulentcombiner leurs réseaux en un seul inter-réseau,
certaines adresses dans ceréseaux risquent de ne plus être
uniques. Le résultat est l'obligation derenuméroter
ces machines.
Le cout de la
renumérotation peut être atténué par le
développement etl'utilisation d'outils qui facilitent la
renumerotation (ex Dynamic HostConfiguration Protocol (DHCP)).
Lors de la décision d'utiliser des classesd'adresses privées,
nous recommandons d'interroger les vendeurs de matériel
etde logiciel sur la disponibilité de telsoutils. Un groupe
de l'IETF (PIERWorking Group) produit une documentation sur les prérequis
et les procédurespour la renumérotation.
5.
Considérations Opératoires
Une stratégie
possible est de concevoir la partie privée du réseau
en premieret d'utiliser l'adressage privé pour tous les
liens internes. Ensuite,planifier les sous-réseaux
publiques là où cela est requis et concevoir
laconnectivité externe.
Cette conception
n'a pas besoin d'être fixée une fois pour toute. Si
ungroupe de machine doit changer de statut (de privé vers
public ou vice-versa) par la suite, celà peut être
fait en ne renumérotant que lesmachines impliquées
et en changeant la connectivité si besoin est. Dans
lesendroits où de tels changements sont à prévoir
(salles machines) il estconseillé de prévoir de
mediums physiques séparés pour les réseaux
publiques etprivés afin de faciliter l'opération.
Pour éviter d'importantes interruptionsdu réseau, il
est conseillé de grouper sur un même brin des
machines ayant lemême profil de connectivité.
Si un plan de découpage
en sous-réseaux acceptable peut être conçu
etsupporté par le matériel, il est conseillé
d'utiliser le bloc de 24 bits(classe A) de l'espace d'adressage
privé et de faire un plan d'adressage avecune bonne capacité
d'évolution. Si le decoupage en sous réseaux est
unproblème, le bloc de 16 bits (réseaux de classe C)
ou celui de 20 bits (réseauxde classe B) peuvent aussi être
utilisés pour l'adressage.
On peut être
tenté d'avoir à la fois des adresses publiques et
privées sur lemême media physique. Bien que cela soit
possible, il y a des limitation à unetelle architecture
(notez que les limitations n'ont rien à voir avec
lesadresses privées, mais sont dues à la présence
de plusieurs sous-réseaux IP surle même brin
physique). Nous vous conseillons la prudence en procédant
de lasorte.
Il est fortement
recommandé que les routeurs connectant l'entreprise auxréseaux
extérieurs soient configurés avec des filtres sur
les paquets et leroutage appropriés aux deux extrémités
afin de se prévenir contre la fuite depaquets et de routes.
Une entreprise doit aussi filtrer les information deroutage
entrantes concernant des réseaux privés pour se protéger
elle-même desituations de routage ambiguës qui peuvent
survenir lorsque des routes versl'espace d'adressage privé
pointe vers l'extérieur de l'entreprise.
Il est possible
pour 2 sites qui coordonnent leur espace privé d'adressage
decommuniquer ensemble au travers d'un réseau publique.
Pour ce faire, elles doivent utiliser une méthode
d'encapsulation à leur frontière avec le réseau
publique, pour préserver leurs adresses privées.
Si 2 (ou plus)
organisations suivent les plans d'adressage spécifiés
cidessus et veulent par la suite établir une connectivité
IP les unes avec lesautres, il y a un risque d'ambiguité
dans les adresses. Pour minimiser lerisque, il est fortement
conseillé qu'une organisation utilisant l'adressageprivé
choisisse une plage aléatoire dans cet espace, lorsqu'elle
alloue dessous-blocs.
Si une entreprise
utilise l'espace d'adressage privé, ou un mélange
privé/public, alors les DNS secondaires, à l'extérieur
de l'entreprise, ne doivent pasvoir d'adresses appartenant à
l'adressage privé car celles-ci sont ambiguës (ou ont
quelques chances de l'être). Une façon de de
s'assurer de cela est de faire tourner 2 servers de noms de
domaines "autorisés" pour chaque zone contenant
des adresses publiques et privées. Un serveur, visible
depuis l'extérieur et ne servant que les adresses
joignables depuisl'extérieur. Le deuxième,
uniquement accessible depuis l'intérieur et servantla
totalité des données, y compris les adresses privées
et les adressespubliques accessibles depuis le réseau privé.
Pour assurer la cohérence, lesdeux serveurs doivent être
configurés à partir des mêmes données.
Cespossibilités ajoutent un certain degré de
complexité.
6.
Considérations de Sécurité
Les fonctions de
sécurité ne sont pas traitées dans ce memo.
7.
Conclusion
Selon le schemas
expliqué ci-dessus, de grandes entreprises n'ont
besoinfinalement que d'un relativement petit bloc d'adresses
publiques issues del'espace d'adressage global. L'Internet dans
son ensemble bénéficie de lapréservation de
l'espace d'adressage global qui permet d'accroître la durée
devie d'IPv4. L'entreprise bénéficie d'une
flexibilité plus grande apportée parl'espace
d'adressage relativement grand des plages d'adresses privées.Néanmoins,
l'utilisation de l'adressage privé requiert que
l'organisationchange une partie de son adressage lorsque ses
besoins de connexion changent.
8.
Remerciements
Nous voulons
remercier Tony Bates (MCI), Jordan Becker (ANS), Hans-WernerBraun
(SDSC), Ross Callon (BayNetworks), John Curran (BBN Planet), Vince
Fuller(BBN Planet), Tony Li (cisco Systems), Anne Lord (RIPE NCC),
Milo Medin (NSI),Marten Terpstra (BayNetworks), Geza Turchanyi
(RIPE NCC), Christophe Wolfhugel(Pasteur Institute), Andy Linton
(connect.com.au), Brian Carpenter (CERN),Randy Bush (PSG), Erik
Fair (Apple Computer), Dave Crocker (BrandenburgConsulting), Tom
Kessler (SGI), Dave Piscitello (Core Competence), MattCrawford
(FNAL), Michael Patton (BBN), and Paul Vixie (Internet
SoftwareConsortium) pour leur relecture et commentaires
constructifs.
9.
Références
[RFC1466] Gerich,
E., "Guidelines for Management of IP Address Space",
RFC1466, Merit Network, Inc., May 1993.
[RFC1518]
Rekhter, Y., and T. Li, "An Architecture for IP Address
Allocationwith CIDR", RFC 1518, September 1993.
[RFC1519] Fuller,
V., Li, T., Yu, J., and K. Varadhan, "Classless
Inter-DomainRouting (CIDR): an Address Assignment and Aggregation
Strategy", RFC 1519,September 1993.
10.
Adresses des Auteurs
Yakov Rekhter
Cisco systems
170 West
Tasman Drive
San Jose, CA,
USA
Phone: +1 914
528 0090
Fax: +1 408
526-4952
EMail:
yakov@cisco.com
Robert G
Moskowitz
Chrysler
Corporation
CIMS:
424-73-00
25999 Lawrence
Ave
Center Line,
MI 48015
Phone: +1 810
758 8212
Fax: +1 810
758 8173
EMail:
rgm3@is.chrysler.com
Daniel
Karrenberg
RIPE Network
Coordination Centre
Kruislaan 409
1098 SJ
Amsterdam, the Netherlands
Phone: +31 20
592 5065
Fax: +31 20
592 5090
EMail:
Daniel.Karrenberg@ripe.net
Geert Jan de
Groot
RIPE Network
Coordination Centre
Kruislaan 409
1098 SJ
Amsterdam, the Netherlands
Phone: +31 20
592 5065
Fax: +31 20
592 5090
EMail:
GeertJan.deGroot@ripe.net
Eliot Lear
Mail Stop
15-730
Silicon
Graphics, Inc.
2011 N.
Shoreline Blvd.
Mountain View,
CA 94043-1389
Phone: +1 415
960 1980
Fax:
+1 415 961 9584
EMail:
lear@sgi.com |